User directoryオブジェクト
次のオブジェクトは、userdirectoryAPIに直接関連しています。
ユーザーディレクトリ
ユーザーディレクトリオブジェクトには、以下のプロパティがあります。
| Property | Type | Description |
|---|---|---|
| userdirectoryid | ID | ユーザーディレクトリのID。 ユーザーディレクトリが削除されると、削除されたユーザーディレクトリに関連付けられているすべてのユーザーについて、User object のプロパティ userdirectoryid の値は "0" に設定されます。Property behavior: - read-only - 更新操作で required |
| idp_type | integer | ユーザーディレクトリに対してIDプロバイダーが使用する認証プロトコルのタイプ。 SAMLタイプのユーザーディレクトリは1つだけ存在できます。 指定可能な値: 1 - LDAPタイプのユーザーディレクトリ; 2 - SAMLタイプのユーザーディレクトリ。 Property behavior: - 作成操作で required |
| group_name | string | LDAP/SAMLユーザーディレクトリ属性で、LDAP/SAMLユーザーディレクトリとZabbixの間でグループをマッピングするために使用されるグループ名を含みます。 例: cn Property behavior: - provision_status が "Enabled" に設定され、かつ Authentication object の saml_jit_status が "Enabled for configured SAML IdPs" に設定されている場合は required |
| user_username | string | LDAP/SAMLユーザーディレクトリ属性(scim_status が "SCIM provisioning is enabled" に設定されている場合はSCIM属性でもあります)で、ユーザーの名前を含みます。この値は、ユーザーがプロビジョニングされる際に User object のプロパティ name の値として使用されます。例: cn, commonName, displayName, name |
| user_lastname | string | LDAP/SAMLユーザーディレクトリ属性(scim_status が "SCIM provisioning is enabled" に設定されている場合はSCIM属性でもあります)で、ユーザーの姓を含みます。この値は、ユーザーがプロビジョニングされる際に User object のプロパティ surname の値として使用されます。例: sn, surname, lastName |
| provision_status | integer | ユーザーディレクトリのプロビジョニング状態。 指定可能な値: 0 - (default) 無効(このユーザーディレクトリによって作成されるユーザーのプロビジョニングは無効); 1 - 有効(このユーザーディレクトリによって作成されるユーザーのプロビジョニングは有効。さらに、LDAPまたはSAMLプロビジョニングの状態(Authentication object の ldap_jit_status または saml_jit_status)も有効である必要があります)。 |
| provision_groups | array | LDAP/SAMLユーザーグループパターンをZabbixユーザーグループおよびユーザーロールにマッピングするための、provisioning groups mappings オブジェクトの配列。 Property behavior: - provision_status が "Enabled" に設定されている場合は required |
| provision_media | array | ユーザーのLDAP/SAMLメディア属性(例: email)を、通知送信のためのZabbixユーザーメディアにマッピングするための、media type mappings オブジェクトの配列。 |
| LDAP-specific properties: | ||
| name | string | ユーザーディレクトリの一意な名前。 Property behavior: - idp_type が "User directory of type LDAP" に設定されている場合は required |
| host | string | LDAPサーバーのホスト名、IP、またはURI。 URIにはスキーマ( ldap:// または ldaps://)、ホスト、およびポート(任意)を含める必要があります。例: host.example.com 127.0.0.1 ldap://ldap.example.com:389 Property behavior: - idp_type が "User directory of type LDAP" に設定されている場合は required |
| port | integer | LDAPサーバーのポート。 Property behavior: - idp_type が "User directory of type LDAP" に設定されている場合は required |
| base_dn | string | LDAPユーザーディレクトリにおけるユーザーアカウントへのベースパス。 例: ou=Users,dc=example,dc=org ou=Users,ou=system (OpenLDAPの場合) DC=company,DC=com (Microsoft Active Directoryの場合) uid=%{user},dc=example,dc=com (直接ユーザーバインド用。プレースホルダー "%{user}" は必須) Property behavior: - idp_type が "User directory of type LDAP" に設定されている場合は required |
| search_attribute | string | ログイン要求で提供された情報からユーザーアカウントを識別するために使用されるLDAPユーザーディレクトリ属性。 例: uid (OpenLDAPの場合) sAMAccountName (Microsoft Active Directoryの場合) Property behavior: - idp_type が "User directory of type LDAP" に設定されている場合は required |
| bind_dn | string | LDAPサーバーに対してバインドおよび検索を行うためのLDAPサーバーアカウント。 直接ユーザーバインドおよび匿名バインドでは、 bind_dn は空である必要があります。例: uid=ldap_search,ou=system (OpenLDAPの場合) CN=ldap_search,OU=user_group,DC=company,DC=com (Microsoft Active Directoryの場合) CN=Admin,OU=Users,OU=Zabbix,DC=zbx,DC=local Property behavior: - idp_type が "User directory of type LDAP" に設定されている場合に supported |
| bind_password | string | LDAPサーバーに対してバインドおよび検索を行うアカウントのLDAPパスワード。 直接ユーザーバインドおよび匿名バインドでは、 bind_password は空である必要があります。Property behavior: - idp_type が "User directory of type LDAP" に設定されている場合に supported |
| description | string | ユーザーディレクトリの説明。 Property behavior: - idp_type が "User directory of type LDAP" に設定されている場合に supported |
| group_basedn | string | グループへのLDAPユーザーディレクトリベースパス。LDAPユーザーディレクトリでユーザーメンバーシップチェックを設定するために使用されます。group_membership が設定されている場合、ユーザーのプロビジョニング時には無視されます。例: ou=Groups,dc=example,dc=com Property behavior: - idp_type が "User directory of type LDAP" に設定されている場合に supported |
| group_filter | string | ユーザーがメンバーであるLDAPユーザーディレクトリグループを取得するためのフィルター文字列。LDAPユーザーディレクトリでユーザーメンバーシップチェックを設定するために使用されます。group_membership が設定されている場合、ユーザーのプロビジョニング時には無視されます。サポートされる group_filter プレースホルダー:%{attr} - 検索属性( search_attribute プロパティ値に置き換えられます);%{groupattr} - グループ属性( group_member プロパティ値に置き換えられます);%{host} - LDAPサーバーのホスト名、IP、またはURI( host プロパティ値に置き換えられます);%{user} - Zabbixユーザーのユーザー名。 デフォルト: (%{groupattr}=%{user}) 例: - (member=uid=%{ref},ou=Users,dc=example,dc=com) は、LDAPグループオブジェクトに値 "uid=User1,ou=Users,dc=example,dc=com" を持つ "member" 属性が含まれている場合に "User1" に一致し、"User1" がメンバーであるグループを返します; - (%{groupattr}=cn=%{ref},ou=Users,ou=Zabbix,DC=example,DC=com) は、LDAPグループオブジェクトに group_member プロパティで指定された属性が含まれ、その値が "cn=User1,ou=Users,ou=Zabbix,DC=example,DC=com" である場合に "User1" に一致し、"User1" がメンバーであるグループを返します。Property behavior: - idp_type が "User directory of type LDAP" に設定されている場合に supported |
| group_member | string | グループメンバーに関する情報を含むLDAPユーザーディレクトリ属性。LDAPユーザーディレクトリでユーザーメンバーシップチェックを設定するために使用されます。group_membership が設定されている場合、ユーザーのプロビジョニング時には無視されます。Property behavior: - idp_type が "User directory of type LDAP" に設定されている場合に supported |
| group_membership | string | ユーザーが所属するグループに関する情報を含むLDAPユーザーディレクトリ属性。 例: memberOf Property behavior: - idp_type が "User directory of type LDAP" に設定されている場合に supported |
| search_filter | string | ログイン要求で提供された情報に基づいて、LDAPユーザーディレクトリ内のユーザーを検索および認証するために使用されるカスタムフィルター文字列。 サポートされる search_filter プレースホルダー:%{attr} - 検索属性名(例: uid, sAMAccountName); %{user} - Zabbixユーザーのユーザー名。 デフォルト: (%{attr}=%{user}) Property behavior: - idp_type が "User directory of type LDAP" に設定されている場合に supported |
| start_tls | integer | LDAPサーバーとの通信をTransport Layer Security (TLS) を使用して保護できるようにするLDAPサーバー設定オプション。ldaps:// プロトコルを使用するホストでは、start_tls を "Disabled" に設定する必要があることに注意してください。指定可能な値: 0 - (default) 無効; 1 - 有効。 Property behavior: - idp_type が "User directory of type LDAP" に設定されている場合に supported |
| user_ref_attr | string | ユーザーオブジェクトを参照するために使用されるLDAPユーザーディレクトリ属性。user_ref_attr の値は、ユーザーディレクトリ内の指定された属性から値を取得し、その値を group_filter 文字列内の %{ref} プレースホルダーの代わりに配置するために使用されます。例: cn, uid, member, uniqueMember Property behavior: - idp_type が "User directory of type LDAP" に設定されている場合に supported |
| SAML-specific properties: | ||
| idp_entityid | string | IDプロバイダーを識別するURIで、SAMLメッセージ内でIDプロバイダーとの通信に使用されます。 例: https://idp.example.com/idp Property behavior: - idp_type が "User directory of type SAML" に設定されている場合は required |
| sp_entityid | string | IDプロバイダーのサービスプロバイダーを識別するURLまたは任意の文字列。 例: https://idp.example.com/sp zabbix Property behavior: - idp_type が "User directory of type SAML" に設定されている場合は required |
| username_attribute | string | SAMLユーザーディレクトリ属性(scim_status が "SCIM provisioning is enabled" に設定されている場合はSCIM属性でもあります)で、認証時に User object のプロパティ username の値と比較されるユーザー名を含みます。例: uid, userprincipalname, samaccountname, username, userusername, urn:oid:0.9.2342.19200300.100.1.1, urn:oid:1.3.6.1.4.1.5923.1.1.1.13, urn:oid:0.9.2342.19200300.100.1.44 Property behavior: - idp_type が "User directory of type SAML" に設定されている場合は required |
| sso_url | string | IDプロバイダーのSAMLシングルサインオン(SSO)サービスのURL。ZabbixはこのURLにSAML認証リクエストを送信します。 例: http://idp.example.com/idp/sso/saml Property behavior: - idp_type が "User directory of type SAML" に設定されている場合は required |
| slo_url | string | IDプロバイダーのSAMLシングルログアウトサービスのURL。ZabbixはこのURLにSAMLログアウトリクエストを送信します。 例: https://idp.example.com/idp/slo/saml Property behavior: - idp_type が "User directory of type SAML" に設定されている場合に supported |
| encrypt_nameid | integer | SAML name ID を暗号化するかどうか。 指定可能な値: 0 - (default) name ID を暗号化しない; 1 - name ID を暗号化する。 Property behavior: - idp_type が "User directory of type SAML" に設定されている場合に supported |
| encrypt_assertions | integer | SAMLアサーションを暗号化するかどうか。 指定可能な値: 0 - (default) アサーションを暗号化しない; 1 - アサーションを暗号化する。 Property behavior: - idp_type が "User directory of type SAML" に設定されている場合に supported |
| nameid_format | string | SAML IDプロバイダーのサービスプロバイダーのName ID形式。 例: urn:oasis:names:tc:SAML:2.0:nameid-format:persistent urn:oasis:names:tc:SAML:2.0:nameid-format:transient urn:oasis:names:tc:SAML:2.0:nameid-format:kerberos urn:oasis:names:tc:SAML:2.0:nameid-format:entity Property behavior: - idp_type が "User directory of type SAML" に設定されている場合に supported |
| scim_status | integer | SAML用のSCIMプロビジョニングが有効か無効か。 指定可能な値: 0 - (default) SCIMプロビジョニングは無効; 1 - SCIMプロビジョニングは有効。 Property behavior: - idp_type が "User directory of type SAML" に設定されている場合に supported |
| sign_assertions | integer | SAMLアサーションにSAML署名を付与するかどうか。 指定可能な値: 0 - (default) アサーションに署名しない; 1 - アサーションに署名する。 Property behavior: - idp_type が "User directory of type SAML" に設定されている場合に supported |
| sign_authn_requests | integer | SAML AuthNリクエストにSAML署名を付与するかどうか。 指定可能な値: 0 - (default) AuthNリクエストに署名しない; 1 - AuthNリクエストに署名する。 Property behavior: - idp_type が "User directory of type SAML" に設定されている場合に supported |
| sign_messages | integer | SAMLメッセージにSAML署名を付与するかどうか。 指定可能な値: 0 - (default) メッセージに署名しない; 1 - メッセージに署名する。 Property behavior: - idp_type が "User directory of type SAML" に設定されている場合に supported |
| sign_logout_requests | integer | SAMLログアウトリクエストにSAML署名を付与するかどうか。 指定可能な値: 0 - (default) ログアウトリクエストに署名しない; 1 - ログアウトリクエストに署名する。 Property behavior: - idp_type が "User directory of type SAML" に設定されている場合に supported |
| sign_logout_responses | integer | SAMLログアウトレスポンスにSAML署名を付与するかどうか。 指定可能な値: 0 - (default) ログアウトレスポンスに署名しない; 1 - ログアウトレスポンスに署名する。 Property behavior: - idp_type が "User directory of type SAML" に設定されている場合に supported |
| idp_certificate | string | SAMLシングルサインオン(SSO)サービス設定用のサービスプロバイダー(SP)証明書の内容。 例: -----BEGIN CERTIFICATE----- MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA7... ...more encoded data... -----END CERTIFICATE----- Property behavior: - idp_type が "User directory of type SAML" に設定され、かつ zabbix.conf.php で $SSO['CERT_STORAGE'] が database に設定されている場合に supported- write-only |
| sp_private_key | string | SAMLシングルサインオン(SSO)サービス設定用のサービスプロバイダー(SP)秘密鍵の内容。 IDプロバイダー(IdP)との安全な認証およびデータ交換を提供します。 例: -----BEGIN CERTIFICATE----- MIIEvQIBADANBgkqhkiG9w0BA... ...more encoded data... -----END CERTIFICATE----- Property behavior: - idp_type が "User directory of type SAML" に設定され、かつ zabbix.conf.php で $SSO['CERT_STORAGE'] が database に設定されている場合に supported- write-only |
| sp_certificate | string | SAMLシングルサインオン(SSO)サービス設定用のサービスプロバイダー(SP)証明書の内容。 例: -----BEGIN CERTIFICATE----- MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA7... ...more encoded data... -----END CERTIFICATE----- Property behavior: - idp_type が "User directory of type SAML" に設定され、かつ zabbix.conf.php で $SSO['CERT_STORAGE'] が database に設定されている場合に supported- write-only |
| idp_certificate_hash | string | idp_certificate 値の md5 ハッシュ。idp_certificate が空の場合は空文字列を返します。 Property behavior: - idp_type が "User directory of type SAML" に設定され、かつ zabbix.conf.php で $SSO['CERT_STORAGE'] が database に設定されている場合に supported- read-only |
| sp_private_key_hash | string | sp_private_key 値の md5 ハッシュ。sp_private_key が空の場合は空文字列を返します。 Property behavior: - idp_type が "User directory of type SAML" に設定され、かつ zabbix.conf.php で $SSO['CERT_STORAGE'] が database に設定されている場合に supported- read-only |
| sp_certificate_hash | string | sp_certificate 値の md5 ハッシュ。sp_certificate が空の場合は空文字列を返します。 Property behavior: - idp_type が "User directory of type SAML" に設定され、かつ zabbix.conf.php で $SSO['CERT_STORAGE'] が database に設定されている場合に supported- read-only |
メディアタイプマッピング
メディアタイプマッピングオブジェクトには、以下のプロパティがあります。
| プロパティ | 型 | 説明 |
|---|---|---|
| userdirectory_mediaid | ID | メディアタイプマッピングID。 プロパティの動作: - 読み取り専用 |
| name | string | メディアタイプマッピングの一覧に表示される名前。 プロパティの動作: - 必須 |
| mediatypeid | ID | 作成されるメディアタイプのID。メディアオブジェクト のプロパティ mediatypeid の値として使用されます。プロパティの動作: - 必須 |
| attribute | string | ユーザーのメディア(例: [email protected])を含むLDAP/SAMLユーザーディレクトリ属性(scim_status が「SCIMプロビジョニングが有効」に設定されている場合はSCIM属性でも可)。この値は、メディアオブジェクト のプロパティ sendto の値として使用されます。LDAP/SAMLアイデンティティプロバイダーから受信したデータ内にこの属性が存在し、かつ値が空でない場合、プロビジョニングされたユーザーのメディア作成がトリガーされます。 プロパティの動作: - 必須 |
| active | integer | プロビジョニングされたユーザーに対してメディアが作成される際の、ユーザーメディア active プロパティの値。指定可能な値: 0 - (デフォルト) 有効; 1 - 無効。 |
| severity | integer | プロビジョニングされたユーザーに対してメディアが作成される際の、ユーザーメディア severity プロパティの値。デフォルト: 63。 |
| period | string | プロビジョニングされたユーザーに対してメディアが作成される際の、ユーザーメディア period プロパティの値。デフォルト: 1-7,00:00-24:00。 |
プロビジョニンググループマッピング
プロビジョニンググループマッピングには、以下のプロパティがあります。
| プロパティ | 型 | 説明 |
|---|---|---|
| name | string | LDAP/SAMLユーザーディレクトリ内のグループのフルネーム(例: Zabbix administrators)です(scim_status が「SCIM provisioning is enabled」に設定されている場合は、SCIMも含みます)。ワイルドカード文字「*」をサポートします。 すべてのプロビジョニンググループマッピング内で一意である必要があります。 プロパティの動作: - 必須 |
| roleid | ID | ユーザーに割り当てるユーザーロールのIDです。 複数のプロビジョニンググループマッピングが一致した場合、最も高いユーザータイプ(User、Admin、または Super admin)のロールがユーザーに割り当てられます。同じユーザータイプのロールが複数ある場合は、最初のロール(アルファベット順でソート)がユーザーに割り当てられます。 プロパティの動作: - 必須 |
| user_groups | array | ZabbixユーザーグループIDオブジェクトの配列です。各オブジェクトには以下のプロパティがあります。usrgrpid - (ID) ユーザーに割り当てるZabbixユーザーグループのID。複数のプロビジョニンググループマッピングが一致した場合、一致したすべてのマッピングのZabbixユーザーグループがユーザーに割り当てられます。 プロパティの動作: - 必須 |